1. บทนำ โรงพยาบาลศรีสะเกษ ในสังกัดสำนักงานปลัดกระทรวงสาธารณสุข ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) จึงได้จัดทำนโยบายฉบับนี้ขึ้น เพื่อกำหนดหลักเกณฑ์ แนวทาง และมาตรการในการเก็บรวบรวม ใช้ เปิดเผย และประมวลผลข้อมูลส่วนบุคคลของทุกภาคส่วนที่เกี่ยวข้องกับการดำเนินงานของโรงพยาบาล เพื่อให้เป็นไปตามกฎหมายและมาตรฐานสากล

2. ขอบเขตของนโยบาย นโยบายนี้ครอบคลุมการประมวลผลข้อมูลส่วนบุคคลทั้งหมดที่โรงพยาบาลเก็บรวบรวมจาก:

ผู้ป่วยและญาติ

บุคลากรของโรงพยาบาล (แพทย์ พยาบาล เจ้าหน้าที่)

ผู้สมัครงาน

คู่ค้า ผู้รับเหมา และผู้ให้บริการ

ผู้มาติดต่อและบุคคลทั่วไปที่เข้ามาในพื้นที่โรงพยาบาล รวมถึงข้อมูลที่ประมวลผลทั้งในรูปแบบอิเล็กทรอนิกส์และเอกสาร

3. คำจำกัดความ

ข้อมูลส่วนบุคคล: ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม

ข้อมูลส่วนบุคคลอ่อนไหว: ข้อมูลส่วนบุคคลตามมาตรา 26 แห่ง PDPA (เช่น ข้อมูลสุขภาพ, เชื้อชาติ, ศาสนา)

เจ้าของข้อมูลส่วนบุคคล: บุคคลธรรมดาที่เป็นเจ้าของข้อมูลส่วนบุคคล

ผู้ควบคุมข้อมูลส่วนบุคคล: โรงพยาบาลศรีสะเกษ

ผู้ประมวลผลข้อมูลส่วนบุคคล: บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล

4. หลักการประมวลผลข้อมูลส่วนบุคคล โรงพยาบาลจะดำเนินการประมวลผลข้อมูลส่วนบุคคลตามหลักการดังต่อไปนี้:

การประมวลผลโดยชอบด้วยกฎหมาย: มีฐานทางกฎหมายที่รองรับการประมวลผล (เช่น ความยินยอม, สัญญา, กฎหมาย, ประโยชน์โดยชอบด้วยกฎหมาย, ประโยชน์สาธารณะ, การป้องกัน/ระงับอันตรายต่อชีวิต)

การเก็บรวบรวมเท่าที่จำเป็น: เก็บข้อมูลเท่าที่จำเป็นและเกี่ยวข้องกับวัตถุประสงค์ที่ได้แจ้งไว้

ความถูกต้องของข้อมูล: ตรวจสอบให้ข้อมูลมีความถูกต้อง เป็นปัจจุบัน และสมบูรณ์

การจำกัดวัตถุประสงค์: ประมวลผลข้อมูลตามวัตถุประสงค์ที่ได้แจ้งไว้เท่านั้น

การจำกัดระยะเวลาการเก็บรักษา: เก็บรักษาข้อมูลเท่าที่จำเป็นตามวัตถุประสงค์และกฎหมายกำหนด

ความปลอดภัยของข้อมูล: มีมาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อป้องกันการเข้าถึง ทำลาย ใช้ เปลี่ยนแปลง หรือเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต

ความโปร่งใส: แจ้งให้เจ้าของข้อมูลทราบถึงรายละเอียดการประมวลผลข้อมูลอย่างชัดเจน

5. มาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล โรงพยาบาลได้จัดให้มีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคลอย่างเหมาะสม ดังนี้:

มาตรการทางเทคนิค:

การเข้ารหัสข้อมูล (Encryption)

ระบบป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต (Firewall, Intrusion Detection System)

การสำรองข้อมูล (Backup)

การตรวจสอบและบันทึกการเข้าถึงข้อมูล (Audit Log)

มาตรการทางองค์กร:

การกำหนดสิทธิ์การเข้าถึงข้อมูลตามหน้าที่ความรับผิดชอบ (Role-based access control)

การฝึกอบรมบุคลากรเกี่ยวกับ PDPA และนโยบายการคุ้มครองข้อมูลส่วนบุคคล

การจัดทำข้อตกลงการรักษาความลับ (NDA) กับบุคลากรและผู้ให้บริการภายนอก

การตรวจสอบและประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ

6.การกำกับดูแลการเก็บรวบรวม ใช้เปิดเผย ข้อมูลส่วนบุคคล

โรงพยาบาลศรีสะเกษจะกำกับดูแลมิให้ผู้ที่ไม่มีหน้าที่หรือไม่ได้รับมอบหมาย เก็บรวบรวมข้อมูลส่วนบุคคล นำไปใช้ประโยชน์ เปิดเผย แสดง หรือทำให้ปรากฏในลักษณะอื่นใดแก่บุคคลอื่น นอกเหนือวัตถุประสงค์ที่ได้ขอความยินยอมจากเจ้าของข้อมูลส่วนบุคคล เว้นแต่การใช้ข้อมูลส่วนบุคคลที่ได้รับยกเว้นไม่ต้องขอความยินยอมตามที่กฎหมายกำหนด

โรงพยาบาลศรีสะเกษ จะไม่เปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลโดยไม่มีฐานการประมวลผลข้อมูลโดยชอบด้วยกฎหมาย แต่อาจเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลภายใต้หลักเกณฑ์ที่กฎหมายกำหนด เช่น การเปิดเผยต่อหน่วยงานราชการ หน่วยงานภาครัฐ หน่วยงานที่กำกับดูแล รวมถึงในกรณีที่มีการร้องขอให้เปิดเผยข้อมูลโดยอาศัยอำนาจตามกฎหมาย

โรงพยาบาลศรีสะเกษอาจใช้เทคโนโลยีคุกกี้ (Cookies) เพื่อเก็บรวบรวมข้อมูลพฤติกรรมของเจ้าของข้อมูลส่วนบุคคล เกี่ยวกับการเข้าถึง การใช้งาน หรือการรับบริการผ่านเว็บไซต์และแอปพลิเคชันของโรงพยาบาลศรีสะเกษเพื่อประโยชน์ในการอำนวยความสะดวกแก่เจ้าของข้อมูลส่วนบุคคลในการเข้าถึงการใช้งาน หรือการรับบริการผ่านเว็บไซต์และแอปพลิเคชันของโรงพยาบาลศรีสะเกษ

7.สิทธิของเจ้าของข้อมูลส่วนบุคคล
เจ้าของข้อมูลส่วนบุคคล มีสิทธิในการดำเนินการกับข้อมูลส่วนบุคคลของตนเองที่โรงพยาบาลศรีสะเกษ ดูแลดังต่อไปนี้

สิทธิในการขอรับข้อมูลส่วนบุคคลของตนเอง โดยเจ้าของข้อมูลมีสิทธิที่จะขอรับสำเนาข้อมูลส่วนบุคคลของตน และมีสิทธิที่จะร้องขอให้เปิดเผยถึงการได้มาซึ่งข้อมูลของเจ้าของข้อมูล

สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของตนเองด้วยเหตุบางประการตามที่กฎหมายกำหนด

สิทธิขอให้ลบหรือทำลายข้อมูลส่วนบุคคล โดยขอให้โรงพยาบาลศรีสะเกษ ดำเนินการลบหรือทำลาย

หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคลที่เป็นเจ้าของข้อมูลส่วนบุคคลได้ด้วยเหตุบางประการได้ตามที่กฎหมายกำหนด

สิทธิขอให้ระงับการใช้ข้อมูลส่วนบุคคล โดยขอให้โรงพยาบาลศรีสะเกษระงับการใช้ข้อมูลส่วนบุคคลของตนเองด้วยเหตุบางประการตามที่กฎหมายกำหนด

สิทธิขอให้แก้ไขเปลี่ยนแปลง โดยขอให้โรงพยาบาลศรีสะเกษ ดำเนินการให้ข้อมูลส่วนบุคคลนั้นถูกต้องเป็นปัจจุบัน สมบูรณ์ และไม่ก่อให้เกิดความเข้าใจผิด

8. บทบาทและความรับผิดชอบ

ผู้อำนวยการโรงพยาบาล: มีหน้าที่กำกับดูแลให้การดำเนินงานของโรงพยาบาลเป็นไปตามนโยบายนี้

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO): มีหน้าที่ให้คำแนะนำ ตรวจสอบการปฏิบัติตาม PDPA และประสานงานกับสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

หัวหน้าส่วนงาน/ฝ่าย: มีหน้าที่กำกับดูแลบุคลากรในความรับผิดชอบให้ปฏิบัติตามนโยบาย

บุคลากรทุกคน: มีหน้าที่ต้องปฏิบัติตามนโยบายนี้อย่างเคร่งครัด และแจ้งเหตุการณ์ข้อมูลรั่วไหลหรือข้อสงสัยเกี่ยวกับข้อมูลส่วนบุคคลให้ DPO ทราบทันที

9. การจัดการเหตุการณ์ข้อมูลรั่วไหล ในกรณีที่เกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล โรงพยาบาลจะดำเนินการตามแนวปฏิบัติที่กำหนดไว้ ดังนี้:

แจ้งเหตุการณ์ให้ DPO ทราบทันที

สืบสวนหาสาเหตุและขอบเขตของการรั่วไหล

ประเมินความเสี่ยงและผลกระทบต่อเจ้าของข้อมูล

ดำเนินการแก้ไขและบรรเทาผลกระทบ

แจ้งเหตุการณ์ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลทราบภายในระยะเวลาที่กฎหมายกำหนด

10. การทบทวนและปรับปรุงนโยบาย นโยบายนี้จะได้รับการทบทวนและปรับปรุงอย่างน้อยปีละหนึ่งครั้ง หรือเมื่อมีการเปลี่ยนแปลงของกฎหมาย กฎระเบียบ หรือการดำเนินงานของโรงพยาบาล

11. ช่องทางการติดต่อ
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) โรงพยาบาลศรีสะเกษ
กลุ่มงานสุขภาพดิจิทัล
0859 โรงพยาบาลศรีสะเกษ ถ.กสิกรรม ตำบลเมืองใต้ อำเภอเมือง จังหวัดศรีสะเกษ 33000
เบอร์โทรศัพท์ : 045-965610
อีเมล: saraban-sskh@moph.go.th